Системы управления наружным освещением (они же АСУНО) приобретают все
большую популярность. Рост этой популярности, как обычно, связан с
«рынком».
Чтобы понять, почему вопросы информационной безопасности зачастую не рассматриваются, давайте рассмотрим весь процесс роста популярности подобных систем.
В последние годы в России популярны договоры концессии и энергосервисные контракты.
Между данными типами договора есть разница, но вникать в нее (в разницу) мы не будем.
Как правило, под энергосервисом понимается некая работа инвестора, достижение заранее оговоренной экономии и поэтапная выплата инвестору денег (лет 5-7).
Например, есть небольшой город, меняются все лампы уличного освещения, достигается некая экономия, после чего инвестор на протяжении некого срока (как правило 5 лет) «отбивает» свои деньги.
Как можно догадаться рынок уже достаточно конкурентен, городов в России много (если верить открытым источникам, то статус города имеют 1100 населенных пунктов согласно переписи населения), а значит надо как-то снижать себестоимость, предлагать свои программные продукты и уже сейчас вы найдете достаточно много систем АСУНО для выбора.
Конечно, иногда такие системы делаются для галочки, чтобы успеть за конкурентами и ни о какой проработки вопросов информационной безопасности речь не идет.
На днях, мне попалось две системы АСУНО, пользуясь случаем я их «посмотрел».
Расписывать не буду, но мне удачно удалось их просканировать (под удачно я имею ввиду то, что поток сканирования не был заблокирован), понять, что вход осуществляется по логину-паролю и никакой защиты от перебора пароля не установлено, не существует какого-либо дополнительного идентификатора (IP, mac) для входа.
Думаю, что даже перечисленного вполне хватит.
Хотелось бы также указать на чисто экономическую составляющую:
Ремарка: недавно на одном из ресурсов вспоминали, что криптовалютные майнеры в нью-йоркском Платтсбурге потребляя электроэнергию и превысили значения, выделяемые городу по контракту с компанией Quebec Hydro, что привело к дополнительным закупкам и «выходу» из рамок бюджета.
Таким образом, если даже представить, что злоумышленник, получив доступ, только изменил время включения/отключения освещения, то это уже приведет к конкретным финансовым потерям, в нашем случае, инвестора по энергосервисному контракту, так как не будет достигнута заданная экономия.
Недавно, многие пользователи соцсетей ретривели статью про найденные уязвимости в системах поливах. Возможно, когда-то во всех наших городах и будут реализованы эти системы, но думаю, что централизованная система освещения появится раньше.
Сказать можно даже больше, что эти системы вполне можно отнести к системам КИИ (ФЗ №187), как элемент дорожной инфраструктуры.
Чтобы понять, почему вопросы информационной безопасности зачастую не рассматриваются, давайте рассмотрим весь процесс роста популярности подобных систем.
В последние годы в России популярны договоры концессии и энергосервисные контракты.
Между данными типами договора есть разница, но вникать в нее (в разницу) мы не будем.
Как правило, под энергосервисом понимается некая работа инвестора, достижение заранее оговоренной экономии и поэтапная выплата инвестору денег (лет 5-7).
Например, есть небольшой город, меняются все лампы уличного освещения, достигается некая экономия, после чего инвестор на протяжении некого срока (как правило 5 лет) «отбивает» свои деньги.
Как можно догадаться рынок уже достаточно конкурентен, городов в России много (если верить открытым источникам, то статус города имеют 1100 населенных пунктов согласно переписи населения), а значит надо как-то снижать себестоимость, предлагать свои программные продукты и уже сейчас вы найдете достаточно много систем АСУНО для выбора.
Конечно, иногда такие системы делаются для галочки, чтобы успеть за конкурентами и ни о какой проработки вопросов информационной безопасности речь не идет.
На днях, мне попалось две системы АСУНО, пользуясь случаем я их «посмотрел».
Расписывать не буду, но мне удачно удалось их просканировать (под удачно я имею ввиду то, что поток сканирования не был заблокирован), понять, что вход осуществляется по логину-паролю и никакой защиты от перебора пароля не установлено, не существует какого-либо дополнительного идентификатора (IP, mac) для входа.
Думаю, что даже перечисленного вполне хватит.
Хотелось бы также указать на чисто экономическую составляющую:
Ремарка: недавно на одном из ресурсов вспоминали, что криптовалютные майнеры в нью-йоркском Платтсбурге потребляя электроэнергию и превысили значения, выделяемые городу по контракту с компанией Quebec Hydro, что привело к дополнительным закупкам и «выходу» из рамок бюджета.
Таким образом, если даже представить, что злоумышленник, получив доступ, только изменил время включения/отключения освещения, то это уже приведет к конкретным финансовым потерям, в нашем случае, инвестора по энергосервисному контракту, так как не будет достигнута заданная экономия.
Недавно, многие пользователи соцсетей ретривели статью про найденные уязвимости в системах поливах. Возможно, когда-то во всех наших городах и будут реализованы эти системы, но думаю, что централизованная система освещения появится раньше.
Сказать можно даже больше, что эти системы вполне можно отнести к системам КИИ (ФЗ №187), как элемент дорожной инфраструктуры.
